Sites de banca em Portugal e Espanha falham na execução da privacidade digital, alerta estudo da Datatekin

A Datatekin, consultora portuguesa especializada em estratégia, governação, integridade e qualidade de dados digitais fez um estudo – “Iberian Retail Banking – Digital Privacy Execution Study & Cyber Overlap (Q3 2025)” – onde analisou 15 sites de banca de retalho (nove em Portugal e seis em Espanha) e aponta que “falhas na implementação de banners de consentimento (CMP) comprometem a transparência e a segurança no setor financeiro”.

Há uma discrepância crítica entre as políticas de privacidade anunciadas nos sites e o que acontece, na prática, nos navegadores dos utilizadores.

A opção “Rejeitar Todos” (Reject All) não está a travar a ativação de tecnologias de rastreio. Nestes casos, foram detetados 825 cookies únicos, dos quais 59% foram classificados como não essenciais, contrariando as diretrizes de ePrivacy e do RGPD.

Segundo o estudo, a privacidade digital nos bancos está a falhar não por falta de avisos ou banners, mas por falhas na execução técnica. “O problema não é o banner existir ou não existir”, afirma Miguel Silva, CEO da Datatekin. “O problema é quando o utilizador rejeita e, mesmo assim, serem observadas ativações técnicas de tags classificadas como não essenciais”, refere o estudo.

A análise, que abrangeu 15 mil páginas, detetou que nenhum dos sites auditados tinha a ferramenta de gestão de consentimento (CMP) implementada em 100% das suas páginas. Esta cobertura inconsistente permite que scripts e tags de terceiros “contornem” as escolhas do utilizador.

O relatório introduz ainda o conceito de “cyber overlap”, o ponto onde a privacidade se cruza com a cibersegurança. Uma vez que as tags e scripts de terceiros são código executável, a falta de controlo sobre o que corre no site de um banco abre portas a riscos operacionais e de exposição de dados.

Mesmo no cenário de “Aceitar Todos”, a transparência é posta em causa: 53,4% dos cookies observados não estavam listados em qualquer categoria das plataformas de gestão de consentimento, indicando falhas graves no inventário de tecnologias em produção.

Recomendações para o setor

Para mitigar estes riscos, a Datatekin defende que a privacidade digital deve ser tratada como uma disciplina operacional contínua, semelhante à cibersegurança. As principais recomendações incluem a monitorização automatizada e recorrente para detetar desvios em tempo real; a governação centralizada de tags e fornecedores externos; e a redução de implementações “ad-hoc” que escapam aos mecanismos de controlo centrais.

A consultora sublinha que este estudo constitui uma análise técnica de um momento específico e “não uma imputação jurídica de incumprimento, servindo antes como um guia para a evolução da resiliência digital no setor bancário”.